1.보호조치 기준 개요
- 개인정보의 안전성 확보조치 기준과 개인정보의 기술적ㆍ관리적 보호조치 기준으로 구분할 수 있음
| 구분 | 개인정보의 안전성 확보조치 기준 | 개인정보의 기술적ㆍ관리적 보호조치 기준 |
| 규제기관 | 개인정보보호위원회 | |
| 대상자 | 개인정보처리자 | 정보통신서비스 제공자 등 |
| 고시 근거 | 개인정보보호법 - 제23조 제2항 (민감정보의 처리 제한) - 제24조 제3항 (고유식별정보의 처리 제한) - 제29조 (안전조치의무) |
개인정보보호법 - 제29조 (안전조치의무) |
| 개인정보보호법 시행령 - 제21조 (고유식별정보의 안전성 확보 조치) - 제30조 (개인정보의 안전성 확보 조치) |
개인정보보호법 시행령 - 제48조의2 (개인정보의 안전성 확보 조치에 관한 특례) |
|
| 처벌 규정 | - 안전성 확보에 필요한 조치를 하지 않은 자 (제29조 위반) - 3천만원 이하 과태료 (제75조 제2항 제6호) |
|
| - 안전성 확보에 필요한 조치를 하지 않아서 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자 (제29조 위반) - 2년 이하의 징역 또는 2천만원 이하 벌금 (제73조 제1항) |
||
| - 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조치(내부관리계획 수립에 관한 사항 제외)를 하지 않은 자 (제29조 위반) - 위반행위와 관련한 매출액의 100분의 3 이하 과징금 (제39조의15 제1항 제5호) |
||
- 기준별 보호조치 요약
| 구분 | 개인정보처리자 | 정보통신서비스 제공자등 |
| 세부기준 | 개인정보의 안전성 확보조치 기준 | 개인정보의 기술적ㆍ관리적 보호조치 기준 |
| 내부 관리계획의 수립ㆍ시행 |
1만 명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 적용 제외 | 사업 규모에 따른 예외 규정 없음 |
| 접근통제 | 개인정보처리시스템에 대한 접근권한 부여 등의 내역 기론 보관 의무: 최소 3년간 보관 | 개인정보처리시스템에 대한 접근권한 부여 등의 내역 기록 보관 의무: 최소 5년간 보관 |
| 비밀번호 설정 관련 세부 기준을 명시하지 않음 ※ 해설서 기준 - 10자리 이상: 영문 대문자와 소문자, 특수문자, 숫자 중 1종류 이상 조합 - 8자리 이상: 영문 대문자와 소문자, 특수문자, 숫자 중 3종류 이상 조합 |
개인정보취급자의 비밀번호 작성 규칙을 구체적 명시 - 10자리 이상: 영문, 특수문자, 숫자 중 2종류 이상 조합 - 8자리 이상: 영문, 특수문자, 숫자 중 3종류 이상 조합 |
|
| 외부 인터넷망 차단 의무화 규정 없음 | 사업자, 개인정보취급자 기준에 해당하는 자의 PC 등에 대한 외부 인터넷망 차단 의무화 | |
| 고유식별정보의 경우 연 1회 이상 취약점 점검 | - | |
| 암호화 대상 (개인정보처리시스템 저장 시) |
- 비밀번호 (일방향 암호화) - 고유식별정보 |
- 비밀번호 (일방향 암호화) - 고유식별정보 - 신용카드번호 - 계좌번호 |
| 접속기록 | 접속기록 범위: 개인정보취급자 등 계정, 접속일시, 접속지 정보, 처리한 정보주체정보, 수행업무 등 | 접속기록 범위: 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 |
| 개인정보 처리시스템 접속기록은 최소 1년 이상 보관 ※ 5만 명 이상 정보주체의 개인정보를 처리하거나 고유식별정보 또는 민감정보 처리 개인정보처리시스템의 경우 최소 2년 이상 보관 |
개인정보 처리시스템 접속기록은 최소 1년 이상 보관 ※ 기간통신사업자는 최소 2년 이상 보관 |
- 개인정보의 안전성 확보조치 기준 유형 분류 기준
| 유형 | 유형1(완화) | 유형2(표준) | 유형3(강화) |
| 적용 대상 | 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 | - 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업 - 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 - 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
- 10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 - 100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
| 적용 기준 | - 제5조 : 제2항부터 제5항까지 - 제6조 : 제1항, 제3항, 제6항 및 제7항 - 제7조 : 제1항부터 제5항까지, 제7항 - 제8조, 제9조, 제10조, 제11조, 제13조 |
- 제4조 : 제1항제1호부터 제11호까지 및 제15호, 제3항부터 제4항까지 - 제5조 - 제6조 : 제1항부터 제7항까지 - 제7조 : 제1항부터 제5항까지, 제7항 - 제8조, 제9조, 제10조, 제11조, 제13조 |
- 제4조부터 제13조까지 |
- 개인정보의 기술적ㆍ관리적 보호조치 기준 적용 대상자
| 구분 | 기준이 적용되는 경우 | ||||
| 기준 적용 대상자 |
정보통신 서비스 제공자등 |
정보통신 서비스 제공자 |
전기통신 사업자 |
기간통신사업자 (전기통신사업법 제5조 제2항) |
음성․데이터 등의 송․수신, 주파수 할당․제공, 전기통신회선설비임대역무, 기간통신역무제공 등 |
| 부가통신사업자 (전기통신사업법 제5조 제3항) |
기간통신사업자의 전기통신회선설비를 임차하여 기간통신역무 외의 전기통신역무 제공 등 | ||||
| 영리를 목적으로 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 매개하는 자 |
인터넷 홈페이지 등을 운영하는 영리를 목적으로 하는 사업자 등 | ||||
| 정보통신서비스 제공자로부터 법 제17조에 따라 이용자의 동의를얻어 개인정보를 제공받은 자 |
업무제휴 등을 위해 이용자의 동의를 얻어 개인정보를 제공받은 자 등 | ||||
| 방송사업자 (개인정보 보호법 제39조의14) | 시청자의 개인정보를 수집․이용 또는 제공하는 자 등 (IPTV 사업자는 직접 적용) |
||||
| 수탁자 (개인정보 보호법 제26조) | 수탁자는 법 제29조의 기술적․관리적 보호조치 규정을 준용 등 |
||||
| 다른 법률에서 이 법의 적용을 받는 자 | 다른 법률에서 특별히 규정된 때 등 | ||||
참고
(개인정보보호위원회)개인정보의안전성확보조치기준
www.law.go.kr
KISA 한국인터넷진흥원
www.kisa.or.kr
(개인정보보호위원회)개인정보의기술적·관리적보호조치기준
www.law.go.kr
KISA 한국인터넷진흥원
www.kisa.or.kr
'개인정보보호(법) > CPPG' 카테고리의 다른 글
| Part 5. 개인정보 관리체계 (0) | 2023.06.07 |
|---|---|
| Part 3. 개인정보보호 라이프사이클 관리_개인정보 제공 (0) | 2023.05.03 |
| Part 3. 개인정보보호 라이프사이클 관리_개인정보 저장, 관리 (0) | 2023.04.24 |
| Part 3. 개인정보보호 라이프사이클 관리_개인정보 수집, 이용 (0) | 2023.04.23 |
| Part 2. 개인정보보호의 제도_분쟁해결 절차 (0) | 2023.04.17 |